SecBoard
Zurück zur Übersicht

Hackers backdoor Jscrambler npm package with infostealer malware

BleepingComputer·
Originalartikel lesen bei BleepingComputer

Ein Angreifer hat eine bösartige Version des Jscrambler npm-Pakets veröffentlicht, die fast 1.500 Mal heruntergeladen wurde. Nutzer, die das Paket installiert haben, könnten von Infostealer-Malware betroffen sein. Es wird dringend empfohlen, die Integrität der eigenen Systeme zu überprüfen und das kompromittierte Paket zu entfernen.

Kurzfassung

Eine bösartige Version des Jscrambler npm-Pakets wurde veröffentlicht und fast 1.500 Mal heruntergeladen. Nutzer, die dieses kompromittierte Paket installiert haben, könnten von Infostealer-Malware betroffen sein. Es wird dringend empfohlen, die Systeme zu überprüfen und das bösartige Paket zu entfernen.

Relevanz für Manager / CISOs
Priorität:Sofort
Betroffene

Nutzer, die die bösartige Version des Jscrambler npm-Pakets heruntergeladen und installiert haben.

Warum relevant

Organisationen, die das Jscrambler npm-Paket in ihrer Softwareentwicklung verwenden, könnten unwissentlich Malware in ihre Systeme oder Produkte integriert haben, was zu Datenlecks und Kompromittierung von Anmeldeinformationen führen kann.

Realistisches Worst Case

Die Infostealer-Malware könnte Anmeldeinformationen und andere sensible Daten von den betroffenen Systemen exfiltrieren, was zu unbefugtem Zugriff auf weitere Systeme und Dienste führt.

Handlungsempfehlung

Überprüfen Sie umgehend alle Systeme auf die Installation des kompromittierten Jscrambler npm-Pakets, entfernen Sie es und überprüfen Sie die Systemintegrität. Aktualisieren Sie auf eine saubere Version und überprüfen Sie alle möglicherweise exponierten Anmeldeinformationen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Abhängigkeitslisten Ihrer Projekte auf die Verwendung des Jscrambler npm-Pakets und dessen Version.
  • Scannen Sie Entwicklungsumgebungen und Build-Server auf Anzeichen von Infostealer-Malware oder ungewöhnlicher Netzwerkaktivität.
  • Überprüfen Sie Audit-Logs auf ungewöhnliche Zugriffe oder Änderungen an Anmeldeinformationen nach der Installation des Pakets.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1195 Supply Chain CompromiseHighEin Angreifer hat eine bösartige Version des Jscrambler npm-Pakets veröffentlicht
CollectionT1005 Data from Local SystemHighInfostealer-Malware
Credential AccessT1552 Unsecured CredentialsLowInfostealer-Malware
Offene Punkte
  • Die genaue Art der gestohlenen Informationen durch die Infostealer-Malware ist nicht spezifiziert.
  • Der genaue Mechanismus der Backdoor-Implementierung ist nicht spezifiziert.
  • Die Identität des Angreifers ist nicht spezifiziert.
  • Die spezifischen Versionen des Jscrambler npm-Pakets, die kompromittiert wurden, sind nicht spezifiziert.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Resource Development detektieren?

MITRE ATT&CK Kill Chain (2 Techniken)

Themen
Security